Qu’est-ce que le NIST Cybersecurity Framework ?

Le cadre d’amélioration de la cybersécurité dans les infrastructures critiques, plus connu en anglais sous le nom de NIST Cybersecurity Framework, a été initialement publié aux États-Unis en février 2014. La version 1.1, publiée en avril 2018, est actuellement disponible.

L’objectif du cadre est d’aider les entreprises de toutes tailles à comprendre, gérer et réduire les risques cybernétiques et à protéger leurs réseaux et leurs données, en fournissant un langage commun et un résumé des meilleures pratiques en matière de cybersécurité.

Applicabilité : Le cadre est applicable aux organisations qui dépendent de la technologie, que leur approche de la cybersécurité soit principalement axée sur les technologies de l’information (TI), les systèmes de contrôle industriel (ICS), les systèmes cyber-physiques (CPS) ou les dispositifs connectés en général, y compris l’Internet des objets (IoT).

Structure : Le cadre comprend trois parties : le noyau du cadre, les niveaux de mise en œuvre et les profils du cadre.

Le noyau du cadre est un ensemble de fonctions et d’activités de cybersécurité, de résultats attendus et de références informatives qui sont communs à tous les secteurs et à l’infrastructure critique. Le noyau du cadre comprend cinq fonctions simultanées et continues : Identifier, Protéger, Détecter, Répondre et Récupérer. Lorsqu’elles sont considérées ensemble, ces fonctions fournissent une vision stratégique de haut niveau du cycle de vie du processus de gestion des risques de cybersécurité d’une organisation. Chaque fonction est composée de catégories, chaque catégorie est divisée à son tour en sous-catégories et chaque sous-catégorie est accompagnée de références normatives à d’autres cadres ou normes (ISO 27001, CobiT 5, NIST SP-83, ISA62443, entre autres) dans lesquels on trouve un niveau de détail plus élevé pour la mise en œuvre des contrôles de sécurité cybernétique concernés.

Vous trouverez ci-dessous chaque fonction avec ses catégories respectives :

Les niveaux de mise en œuvre du NIST fournissent un mécanisme permettant aux organisations de visualiser et de comprendre les caractéristiques de leur approche de la gestion des risques de cybersécurité, ce qui les aidera à hiérarchiser et à atteindre les objectifs de la cybersécurité. Le cadre considère 4 niveaux, du plus faible au plus robuste : Partiel, Risque informé, Répétable et Adaptatif.

Le niveau est déterminé sur la base de 3 attributs (Processus de gestion des risques, intégration de la gestion des risques et participation externe) et des caractéristiques de chacun d’eux qui sont présentées dans l’image suivante :

Enfin, le profil représente les résultats qui sont basés sur les besoins de l’entreprise qu’une organisation a sélectionnés parmi les catégories et sous-catégories du cadre. Le profil peut être caractérisé comme l’alignement des normes, des directives et des pratiques avec le noyau du cadre dans un scénario de mise en œuvre particulier.

De manière plus familière, on peut dire que le profil est une « photo » dans le temps qui montre l’état actuel (ou le niveau d’état souhaité) de la cybersécurité dans une organisation ou une unité commerciale. La différence entre le profil de l’état actuel et le profil de l’état souhaité permettra de construire une feuille de route priorisée pour la mise en œuvre.

1. Priorisation et portée. L’organisation identifie ses objectifs commerciaux ou de mission et les priorités organisationnelles de haut niveau. Grâce à ces informations, l’organisation prend des décisions stratégiques concernant les mises en œuvre de la cybersécurité et détermine la portée des systèmes et des actifs qui soutiennent la ligne ou le processus commercial sélectionné.
2. Orientation. L’organisation identifie les systèmes et les actifs connexes, les exigences réglementaires et l’approche générale en matière de risques. L’organisation consulte ensuite les sources pour identifier les menaces et les vulnérabilités applicables à ces systèmes et actifs.
3. Profil actuel. L’organisation élabore un profil actuel qui indique quels résultats de catégorie et de sous-catégorie du noyau du cadre sont actuellement atteints. Si un résultat est partiellement atteint, la prise en compte de ce fait aidera à soutenir les étapes ultérieures en fournissant des informations de référence.
4. Évaluation des risques. Cette évaluation peut être guidée par le processus de gestion des risques général de l’organisation ou par des activités d’évaluation des risques antérieures. L’organisation analyse l’environnement opérationnel pour déterminer la probabilité d’un événement de cybersécurité et l’impact que cet événement pourrait avoir sur l’organisation. Il est important que les organisations identifient les risques émergents et utilisent les informations sur les menaces de cybersécurité provenant de sources internes et externes pour mieux comprendre le risque associé aux événements de cybersécurité.
5. Profil souhaité. L’organisation crée un profil cible qui se concentre sur l’évaluation des catégories et des sous-catégories du cadre qui décrivent les résultats souhaités en matière de cybersécurité de l’organisation. L’organisation peut également tenir compte des influences et des exigences des parties prenantes externes, telles que les entités du secteur, les clients et les partenaires commerciaux, lors de la création d’un profil souhaité.
6. Déterminer, analyser et hiérarchiser les lacunes. L’organisation compare le profil actuel et le profil souhaité pour déterminer les lacunes. Elle crée ensuite un plan d’action hiérarchisé pour combler les lacunes (qui reflètent les moteurs, les coûts et les avantages, et les risques de la mission) afin d’atteindre les résultats du profil cible. Ensuite, l’organisation détermine les ressources nécessaires pour combler les lacunes, y compris les fonds et la main-d’œuvre. L’utilisation de profils de cette manière encourage l’organisation à prendre des décisions éclairées sur les activités de cybersécurité, soutient la gestion des risques et permet à l’organisation d’apporter des améliorations spécifiques et rentables.
7. Mettre en œuvre le plan d’action. L’organisation détermine les mesures à prendre pour combler les lacunes, le cas échéant, identifiées à l’étape précédente, puis ajuste ses pratiques actuelles de cybersécurité pour atteindre le profil cible. Pour fournir plus d’orientation, le cadre identifie des exemples de références informatives sur les catégories et les sous-catégories, mais les organisations doivent déterminer quelles normes, directives et pratiques, y compris celles qui sont spécifiques au secteur, fonctionnent le mieux pour leurs besoins.

Depuis GlobalSUITE Solutions, grâce à notre outil GlobalSuite Information Security, nous accompagnons la mise en œuvre et le déploiement du framework NIST CSF pour les clients intéressés par sa mise en œuvre.